La perspectiva de Akamai sobre el Patch Tuesday de diciembre de 2022
El Patch Tuesday de diciembre de 2022 de Microsoft se ha publicadoy, en el grupo de inteligencia sobre seguridad de Akamai, hemos querido analizar las vulnerabilidades más interesantes para las que se han aplicado parches. Parece que la Navidad se ha adelantado este año, ya que la actualización de diciembre es mucho más escueta que en los meses anteriores, así que tal vez podamos asustarnos un poco menos antes de las vacaciones. — al menos hasta que aparezca el próximo sucesor de Log4Shell (ya tenemos un buen contendiente, así que, por favor, ¡apliquen parches, amigos!).
En este informe, evaluaremos la importancia real de las vulnerabilidades y lo comunes que son las aplicaciones y los servicios afectados y proporcionaremos una perspectiva realista sobre los errores que se han corregido. Esté atento a esta información los días posteriores a cada Patch Tuesday.
Este es un informe actualizado y añadiremos más información a medida que progrese nuestra investigación. Esté atento.
En este informe, nos centramos en las áreas en las que se han aplicado parches a los errores:
Para cada servicio afectado que analicemos en este informe, tratamos de ofrecer recomendaciones para la supervisión y mitigación cuando no sea posible aplicar parches. Por supuesto, ninguna mitigación es tan eficaz como la aplicación de parches, así que asegúrese de aplicarlos a sus sistemas siempre que sea posible y de mantenerlos actualizados.
Windows PowerShell
Windows PowerShell es una herramienta útil para la administración y la gestión del sistema, así como para su automatización. Está disponible por defecto en la mayoría de las versiones de Windows. Este mes, se han aplicado parches a una CVE fundamental: CVE-2022-41076. Obtuvo una puntuación del CVSS de 8,5. En realidad, esta CVE es para PowerShell Remote. PowerShell admite comandos remotos a través del protocolo WinRM. No está habilitada por defecto. Los servidores tienen que habilitar PSRemoting antes de que se pueda realizar dicho acceso o comunicación. Una explotación exitosa de la CVE permite que un atacante autenticado eluda la configuración de su sesión en PSRemote y ejecutar comandos no aprobados.
Alcance
Dado que la comunicación PowerShell Remote se transfiere a través de WinRM, podemos evaluar el alcance de su uso buscando conexiones de WinRM. En nuestros entornos supervisados, el 77 % de los entornos supervisados tenía al menos un equipo con WinRM habilitadoy, en esas redes, un promedio del 27 % de los equipos supervisados aceptaban conexiones de WinRM. Teníamos algunas redes sin WinRM en absoluto y algunas con más del 95 % de equipos con WinRM habilitado.
Recomendaciones generales
La primera y principal recomendación es siempre aplicar parches a todos los sistemas. En caso de que no pueda aplicar el parche inmediatamente, podemos confiar en algunos aspectos de PowerShell Remote para mitigar algunos de los riesgos:
PowerShell Remote y WinRM no están habilitados por defecto. Por lo tanto, únicamente están en juego los equipos que los tienen habilitados. Puede verificar que WinRM está habilitado comprobando si el servicio de WinRM se está ejecutando o mediante el uso del comando de PowerShell Test-WSMan. Además, si tiene visibilidad de la red, puede buscar comunicación a través de los puertos TCP 5985 y 5986, los puertos de WinRM por defecto.
Para equipos con WinRM habilitado, puede utilizar la microsegmentación para limitar el acceso únicamente a aquellas fuentes necesarias (por ejemplo, únicamente al personal o los servicios de TI). Esto se puede realizar a través de los puertos TCP 5985 y 5986, los puertos de WinRM por defecto. Para determinar a quién o a qué se debería permitir el acceso, recomendamos el uso de una herramienta de visibilidad de la red o un rastreador de la red para consultar los patrones de comunicación existentes.
Si encuentra equipos con WinRM habilitado que no están obteniendo ninguna conexión o cree que WinRM no necesita habilitarse, puede deshabilitarlo.
Mediante el uso de la visibilidad, la segmentación y la deshabilitación del uso innecesario del servicio, puede reducir en gran medida el impacto de la CVE hasta que encuentre tiempo para aplicar parches al sistema.
Subsistema de tiempo de ejecución de cliente/servidor de Windows
El subsistema de tiempo de ejecución de cliente/servidor de Windows (CSRSS) es un proceso del sistema responsable de una variedad de funciones en un equipo Windows. Entre ellas se incluyen la creación y eliminación de procesos y subprocesos, así como la compatibilidad con aplicaciones de consola.
El proceso csrss.exe es tan esencial que se inicia en cada equipo Windows cuando se inicia el sistema y no se puede terminar. La terminación de este proceso provocaría la temida Pantalla Azul de la Muerte (caída del sistema).
Este mes, se han aplicado parches a la CVE de escalada de privilegios en CSRSS, CVE-2022-44673, con una puntuación del CVSS de 7 y marcada como importante. Según el informe de Microsoft, un atacante que explota esta vulnerabilidad con éxito puede obtener privilegios del SISTEMA.
Si bien la complejidad del ataque se marca como "alta", Microsoft también menciona en su informe que "la explotación es más probable" y, puesto que el CSRSS se ejecuta en todos los equipos Windows, recomendamos encarecidamente la aplicación de parches.
Microsoft Office
No puede ser Navidad sin algunos regalos y las CVE de Microsoft Office se sienten generosas este mes. Existen 10 vulnerabilidades, todas con una puntuación del CVSS de 7,8, con una gravedad importante. Se distribuyen en tres productos/componentes: Visio, OneNote y Microsoft Office Graphics.
El vector de ataque
Aunque todas las CVE están marcadas como ejecución remota de código, son, de hecho, vulnerabilidades de la ejecución de código arbitrario (ACE). Esto significa que un atacante no puede explotar las vulnerabilidades por sí mismo, sino que tiene que engañar al usuario para lograrlo a través de la ingeniería social. Para explotar esta vulnerabilidad con éxito es necesario engañar al usuario o a la víctima de modo que descargue un archivo especialmente diseñado y, a continuación, lo abra en el software vulnerable correspondiente.
Mantener a los usuarios finales alerta contra los intentos de ingeniería social puede ayudar a reducir el riesgo de una explotación exitosa. Asegúrese de que los usuarios finales comprenden que no deben caer en estafas navideñas o puede que regrese de las vacaciones y se encuentre algún regalo desagradable en su red. Además, dado que esas aplicaciones normalmente no residen en servidores, puede ser más fácil aplicar parches a los terminales de los usuarios, ya que el tiempo de inactividad de los usuarios suele ser menos costoso que el tiempo de inactividad de los servidores.
CVE
Número de CVE |
Componente |
|---|---|
Microsoft Office Graphics |
|
Microsoft Office Visio |
|
Microsoft Office OneNote |
Servicios tratados anteriormente
Muchas de las CVE del Patch Tuesday de este mes son para sistemas que ya hemos cubierto en el pasado y no tenemos nada nuevo que decir acerca de su mitigación. Si tiene interés en nuestro análisis o nuestras recomendaciones generales sobre esos servicios, le animamos a que consulte nuestras publicaciones anteriores.
Servicio |
Número de CVE |
Efecto |
Acceso necesario |
|---|---|---|---|
Ejecución remota de código |
Autenticada con permisos de gestión de listas |
||
Ejecución remota de código |
Red |
||
Ejecución remota de código |
Conexión autenticada a través de TCP de WCF |
Este resumen ofrece una descripción general de nuestros conocimientos y recomendaciones actuales, dada la información disponible. Nuestra revisión se lleva a cabo de forma continua y cualquier información aquí contenida está sujeta a cambios.
